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@ Verfahren zur Authentlfizierung eines Systemteils durch ein anderes Systemteil eines 
Informationsubertragungssystems nach dem Challenge-and Response-Prinzip 

(g) Bei einem mit einem Endgerat und elner tragbaren 
Datentrageranordnung gebildeten Informationsubertra- 
gungssystem findet eine Authentlfizierung eines Systemteils 
durch ein anderes Systemteil nach dem Challenge-and-Re- 
sponse-Prinzip statt. Die tragbare Datentrageranordnung ist 
mit einem Wertespeicher und einer dieser zugeordneten 
Kontrolleinrtchtung sowie einem nichtfluchtigen, begrenzba- 
ren Fehlerzahler gebildet. Bei dem Authentifizlerungsverfah- 
ren ist zunachst in der tragbaren Datentrageranordnung eine 
Sperre fur das DurchfCihren von Rechenoperationen einge- 
richtet, die erst durch Verandern des FehlerzahJerstandes 
aufgehoben werden muS. Von dem Endgerat werden Zu- 
fallsdaten als Challenge- Daten zur tragbaren Datentrageran- 
ordnung ubertragen, nachdem der Fehlerzahlerstand inkre- 
mental verandert wurde und die Sperre aufgehoben worden 
ist. Sowohl im Endgerat als auch in der tragbaren Datentra- 
) geranordnung werden aus den Challenge-Daten mit Htlfe 
zumindest eines Algorithmus und geheimer Schlusseldaten 
jeweils Authentlfikationsparameter APS, AP4 berechnet. Das 
Endgerat ubertragt seine Authentlfikationsparameter APS als 
Response zur tragbaren Datentrageranordnung, wo sie mit 
den dort berechneten Authentlfikationsparametern AP4 ver- 
glichen werden. Bei Obereinstimmung der jeweiligen Au- 
thentlfikationsparameter APS, AP4 wird der Wertespeicher 
wtederaufladbar und/oder der Fehlerzahler rucksetzbar. 
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Beschreibung 

Die Erfindung betrifft ein Verfahren zur Authentifi- 
zierung eines Systemteils durch ein anderes Systemteil 
nach dem Chailenge-and- Response- Prinzip bei einem 5 
mit einem Endgerat und einer tragbaren Datentrager- 
anordnung gebiideten Informationsiibertragungssy- 
stem, wobei die tragbare Datentr%ereinheit mit einem 
Wertespeicher und einer diesem zugeordneten Kon- 
troUeinrichtung gebildet ist. 10 

Ein solches Verfahren ist aus der alteren europa- 
ischen Anmeldung EP 0 570 924 A2 bekannt Dort ist 
die Anzahl der Authentifikationsversuche durch einen 
Zahler begrenzt. Allerdings wird der Zahler nach jedem 
erfolgreichen Authentifikationsversuch zuriickgesetzt, 15 
so daB bei jeder Verwendung des einen Systemteils, also 
beispielsweise einer Chipkarte, wieder gleichviele neue 
Versuche zur Verfiigung stehen. Wie der einzigen Figur 
dieser Schrift zu entnehmen ist, endet das Authentifika- 
tionsverf ahren mit dem Rucksetzen des 2iahlers. 20 

Tragbare Datentrageranordnungen wie beispielswei- 
se Telefonkarten sind mit einem Wertespeicher und ei- 
ner diesem zugeordneten Kontrolieinrichtung gebildet 
Der Wertespeicher ist als nichtfluchtiger Speicher, also 
beispielsweise als EPROM oder EEPROM, ausgefOhrt. 25 
Da solche Datentrageranordnungen einen Geldwert re- 
prasentieren, ist das Risiko gegeben, daB Versuche un- 
ternommen werden, den Wertespeicher zu manipulie- 
ren bzw. solche Datentrageranordnungen beispielswei- 
se mittels eines Mikroprozessors zu simulieren. Zu die- 30 
sem Zweck konnte der Datenverkehr zwischen einer 
solchen tragbaren Datentrageranordnung und einem 
Endgerat abgehort werden und dann anhand des ermit- 
telten Datenflusses die Datentrageranordnung simuliert 
werden. 35 

Urn eine Simulation zu verhindern, sind Verfahren 
entwickelt worden, die nach dem sogenannten Challen- 
ge-and-Response-Prinzip arbeiten. Hierbei wird vom 
Endgerat eine Challenge, beispielsweise eine Zufalls- 
zahl, zu der tragbaren Datentrageranordnung iibermit- 40 
telt AnschlieBend werden sowohl in der tragbaren Da- 
tentrageranordnung als auch im Endgerat diese Zufalls- 
zahl mit einem geheimen Schlussel mittels eines Algo- 
rithmus verschlusselt. Daraufhin sendet die tragbare 
Datentragereinheit die verschliisselte Zufallszahl an das 45 
Endgerat als Response zuruck. Im Endgerat wird diese 
Response mit der im Endgerat verschliisselten Zufalls- 
zahl verglichen. Bei Obereinstimmung wird die tragbare 
Datentrageranordnung ais echt erkannt und ein Daten- 
austausch kann stattfinden. Wenn keine Obereinstim- 50 
mung gegeben ist, findet kein Datenaustausch statt, so 
daB die tragbare Datentrageranordnung nicht simuliert 
werden kana 

Bekannte VerschlUsselungsalgorithmen sind nur dann 
ausreichend sicher, wemi die Rechenleistung in der trag- 55 
baren Datentrageranordnung und die Wortlange der 
verschliisselten Daten ausreichend groB sind. Fiir Tele- 
fonkarten sind die bekannten Algorithmen wie bei- 
spielsweise der RSA- Algorithmus viel zu aufwendig und 
damit zu teuer. 60 

Bei einer Telefonkarte werden bei jedem Gesprach 
eine bestimmte Anzahl der im Wertespeicher gespei- 
cherten Werte geloscht Wenn alle Werte geloscht sind, 
wird die Karte normalerweise weggeworfen. Es besteht 
somit das Bedurfnis, den Wertespeicher wieder auflad- 65 
bar zu gestalten. 

Es gibt heute Telefonkreditkarten, die einen weiteren 
Wertespeicher enthalten, in dem ein bestimmter Kredit 
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abgespeichert ist. Ist nun der Wertespeicher entwertet, 
so kann er wieder aufgeladen werden, wenn gleichzeitig 
ein entsprechender Teil des KLredits im weiteren Werte- 
speicher geloscht wird. Dieser Wiederaufladevorgang 
des Wertespeichers findet jedoch innerhalb der Karte 
statt. 

Soil jedoch der Wiederaufladevorgang von auBen ge- 
steuert werden, so miissen entsprechende MaBnahmen 
getroffen werden, um eine miBbrauchliche Wiederaufla- 
dung sicher unterbinden zu konnen. 

Die Aufgabe der vorliegenden Erfindung ist es somit, 
ein sicheres Verfahren zur Authentifizierung eines Sy- 
stemteils durch ein anderes Systemteil nach dem Chal- 
lenge-and-Response-Prinzip bei einem mit einem End- 
gerat und einer tragbaren Datentrageranordnung gebii- 
deten Informationsiibertragungssystem, wobei die trag- 
bare Datentragereinheit mit einem Wertespeicher und 
einer dieser zugeordneten Kontrolleinheit gebildet ist, 
anzugeben, das mit geringem Auf wand durchfuhrbar ist. 

Die Aufgabe wird gelost durch ein Verfahren gemSB 
dem Anspruch 1. Vorteilhafte Weiterbildungen der Er- 
findung sind in den Unteranspruchen angegeben. 

In erfindungsgemaBer Weise ist die tragbare Daten- 
trageranordnung auBer mit einem Wertespeicher und 
einer diesem zugeordneten Kontrolieinrichtung auch 
mit einem begrenzbaren Fehlerzahler gebildet, dessen 
Zahlerstand schreib- und Idschbar nicht fliichtig in 
EEPROM-Speicherzellen abgelegt ist. 

Vor jedem Authentifizierungsvorgang wird der Feh- 
lerzahlerstand inkremental durch einen Programmier- 
vorgang verandert, wobei es durch die Begrenzung der 
Anzahl der Authentifizierungsvorgange nicht moglich 
ist, den Algorithmus oder den geheimen Schliissel, mit 
denen die Authentifikationsparameter aus den Challen- 
ge-Daten berechnet werden, zu ermitteln. Aufierdem 
wird vor jedem Authentifizierungsvorgang eine Sperre 
in der tragbaren Datentrageranordnung eingerichtet, 
die nur durch eine Veranderung des Fehlerzahlerstands 
aufgehoben werden kann. Auf diese Weise wird sicher- 
gesteilt, daB jeder Authentifizierungsvorgang gezahlt 
wird. Die Sperre kann beispielsweise ein logischer Zu- 
stand in einer bestimmten Speicherzelle sein. 

Ein Wiederaufladen des Wertespeicher in der tragba- 
ren Datentrageranordnung ist auf erfindungsgemaBe 
Weise nur moglich, wenn sich das Endgerat durch den- 
selben geheimen Schlussel und denselben Algorithmus 
mit denen die Authentifikationsparameter aus den Chal- 
lenge-Daten berechnet worden sind, authentifiziert hat. 

Es ist vorteilhaft, wenn bei der Berechnung der Au- 
thentifikationsparameter neben den Challenge-Daten 
und dem geheimen Schlussel weitere Daten einbezogen 
werden. Die Abhangigkeit der Response auch vom 
Stand des Fehlerzahlers, vom jeweiligen Inhalt des wie- 
der aufzuladenden Speichers oder von Identifikations- 
daten des tragbaren Datentragers erschwert die miB- 
brauchliche Analyse des gesamten Wiederaufladevor- 
gangs zusatzlich. 

In vorteilhaf ter Weiterbiidung der Erfindung wird vor 
oder mit dem Wiederaufladen des Wertespeichers der 
Fehlerzahler ruckgesetzt. 

Eine hohere Sicher heit wird erreicht, wenn im Falle, 
daB der Fehlerzahler vor dem Wiederaufladen des Wer- 
tespeichers ruckgesetzt wurde, aus den Challenge-Da- 
ten mittels eines zweiten Algorithmus, weiterer gehei- 
mer Schliisseldaten und/oder weiterer sonstiger Daten 
des tragbaren Datentragers weitere Authentifikations- 
parameter ermittelt und miteinander verglichen wer- 
den. 
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In weiterer Ausbildung der Erfindung kann auch vor- 
gesehen werden, daB sich vor einer Authentifizierung 
des Endgerats gegenOber der tragbaren Datentrageran- 
ordnung, diese sich gegenuber dem Endgerat mittels 
desselben Vorgangs authentifizieren muB. Zu diesem 5 
Zweck ubertragt die tragbare Datentrageranordnung 
die ermittelten Authentifikationsparameter als Respon- 
se zu dem Endgerat, wo sie dann mit den dort ermittel- 
ten Authentifikationsparametem verglichen werden. 
Erst nach Obereinstimmung der jeweiligen Authentifi- 10 
kationsparameter wird die Authentifizierung des End- 
gerats bezuglich der Berechtigung fur das Rucksetzen 
des Fehlerzahlers und/oder des Wiederaufladens des 
Wertespeichers durchgefuhrt Falls sich die tragbare 
Datentrageranordnung nicht authentifizieren kann, 15 
wird der Vorgang sofort abgebrochen. 

Es ist hinsichtlich der Sicherheit des Authentifizie- 
rungsvorgangs vorteilhaft, wenn mit jedem einzeinen 
Authentifizierungsvorgang neue Challenge-Daten von 
dem Endgerat zur tragbaren Datentrageranordnung 20 
ubermittelt werden. Eine weitere Erhohung der Sicher- 
heit wird erreicht, wenn bei jedem Authentifizierungs- 
vorgang ein neuer geheimer Schiiissel und/oder ein neu- 
er Algorithmus verwendet werden. 

Damit im Endgerat nicht eine Vielzahl von geheimen 25 
Schliisseln abgespeichert sein mussen, werden die in der 
jeweiligen tragbaren Datentrageranordnung gespei- 
cherten geheimen Schlusseidaten verschlusseh als Iden- 
tifikationsdaten vom Endgerat aus der tragbaren Da- 
tentrageranordnung gelesen und im Endgerat mittels 30 
eines weiteren geheimen Schiiissel entschliisselt, so daB 
dann sowohl in der jeweiligen tragbaren Datentrager- 
anordnung als auch im Endgerat derselbe geheime 
Schiiissel vorliegt 

Die Erfmdung wird nachfolgend anhand eines Aus- 35 
fuhrungsbeispiels mittels einer Hgur naher erlautert Es 
zeigtdabeidie 

Figur ein Ablaufdiagramm eines erfindungsgemaBen 
Verfahrens. 

Der Ablauf in der tragbaren Datentrageranordnung 40 
ist in der linken Halfte und der Ablauf im Endgerat in 
der rechten Halfte der Figur dargestellt. In einem ersten 
Schritt werden einerseits die Sperre eingerichtet, was 
beispielsweise durch ein Reset-Signal fur den in der 
tragbaren Datentrageranordnung enthaltenen Halbiei- 45 
terchip erfoigen kann, und andererseits werden die Kar- 
tenidentifikationsdaten CID vom Endgerat aus der trag- 
baren Datentrageranordnung gelesen. Diese werden 
dann mittels eines weiteren geheimen Schiiissels KEY 
und eines dazugehorenden Algorithmus f zu einem ge- 50 
heimen Schlussel KEY' entschlusselt. Dieser geheime 
Schiiissel KEY' ist auch in der tragbaren Datentrager- 
anordnung enthalten. 

In einem zweiten Schritt wird der Fehlerzahler FZ in 
der tragbaren Datentrageranordnung inkremental er- 55 
hoht Oder erniedrigt Durch die Anzahl der moglichen 
Zahlschritte ist die maximale Anzahl der Authentifika- 
tionsvorgange beschrankt, so daB das Ermitteln des ge- 
heimen Schlussels KEY' durch vieie Versuche nicht 
mSgiich ist. Durch das Verandern des Fehlerzahler- eo 
stands wird die Sperre aufgehoben, so daB in der tragba- 
ren Datentrageranordnung die DurchfUhrung von Ope- 
rationen mdglich wird. 

In emem dritten Schritt wird zunSchst eine erste Zu- 
faliszahl RANDOM 1 als Challenge vom Endgerat zur 65 
tragbaren Datentrageranordnung iibermittelt Dann 
werden in der tragbaren Datentrageranordnung diese 
Challenge mitteis des geheimen Schiiissels KEY', und 
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eines Algorithmus f, zu Authentifikationsparametem 
API verarbeitet, und als Response-Daten zum Endgerat 
iibermittelt Dort werden sie mit ebenfalls aus der Zu- 
fallszahl RANDOM 1, dem geheimen Schiiissel KEY' 
und dem Algorithmus f ermittelten Authentifikations- 
parametem AP2 verglichen. Bei Obereinstimmung wird 
die tragbare Datentrageranordnung als giiltig erkannt 
und der Authentifikationsvorgang wird fortgesetzt. Ist 
keine Obereinstimmung gegeben, so muB der Vorgang 
von vorne begonnen werden, soweit der Fehlerzahler 
FZ dies zulaBt 

Bei Oberstimmung wird in einem vierten Schritt eine 
weitere Zufaliszahi RANDOM 2 als weitere Challenge 
vom Endgerat an die tragbare Datentrageranordnung 
iibermittelt Diese wu-d wiederum mittels des geheimen 
Schlussels KEY' und des Algorithmus f , sowohl in der 
tragbaren Datentrageranordnung zu Authentifikations- 
parametem AP4 als auch im Endgerat zu Authentifika- 
tionsparametem AP3 verarbeitet Die Authentifika- 
tionsparameter AP3 des Endgerats werden dann als Re- 
sponse zur tragbaren Datentrageranordnung iibermit- 
telt, wo sie mit den dortigen Authentifikationsparame- 
tem AP4 verglichen werden. Bei Obereinstimmung hat 
sich das Endgerat gegenuber der tragbaren Datentra- 
geranordnung als berechtigt authentifiziert, sowohl den 
Fehlerzahler FZ rOcksetzen zu dUrfen als auch den Wer- 
tespeicher wieder aufladen zu diirfen. 

Es ware auch mdglich und wiirde zu noch groBerer 
Sicherheit fiihren, wenn vor dem Wiederauf laden des 
Wertespeichers ein weiterer Authentifizierungsvorgang 
mit einem weiteren Algorithmus stattfinden wiirde. Es 
konnte dazu auch eine andere Zufaliszahi erzeugt und 
als Challenge zur tragbaren Datentrageranordnung 
iibermittelt werden. 

Durch das erfindungsgemaBe Verfahren ist ein hohes 
MaB an Sicherheit bezuglich des Schutzes vor Manipu- 
lation gegeben, da sich sowohl die tragbare Datentra- 
geranordnung als auch das Endgerat jeweiis gegenuber 
dem anderen Systemteil authentifizieren miissen und 
ein Ermitteln der verwendeten Algorithmen und gehei- 
men Schlussel durch mehrfaches Probieren nicht mog- 
iich ist, da einerseits nur eine durch den Fehlerzahler FZ 
begrenzte Anzahl von Versuchen erlaubt ist und ande- 
rerseits innerhalb dieser Anzahl von Versuchen ein 
Ruckrechnen mittels der Challenge- und der Response- 
Daten nicht moglich ist 

Patentanspriiche 

1. Verfahren zur Authentifizierung eines System- 
teils durch ein anderes Systemteil nach dem Chal- 
lenge-and-Response-Prinzip bei einem mit einem 
Endgerat und einer tragbaren Datentrageranord- 
nung gebildeten Informationsiibenragungssystem, 
wobei die tragbare Datentrageranordnung mit ei- 
nem Wertespeicher und einer diesem zugeordne- 
ten Kontrolleinrichtung, einem begrenzbaren, 
nichtflilchtigen Fehlerzahler (FZ) sowie einer 
Sperrvorrichtung gebildet ist, mit folgenden Schrit- 
ten: 

— in der tragbaren Datentrageranordnung 
wird eine Sperre fiir das Durchfuhren von Re- 
chenoperationen eingerichtet die nur durch 
Verandern des Fehlerzahlerstandes aufgeho- 
ben werden kann, 

— der Fehlerzahlerstand wird durch einen 
Programmiervorgang verandert, wodurch die 
Sperre aufgehoben wird, 
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— von dem Endgerat werden Zufallsdaten 
(RANDOM 1; RANDOM 2) als Challenge zur 
tragbaren Datentrageranordnung iibertragen, 

— sowohl im Endgerat als auch in der tragba- 
ren Datentrageranordnung werden aus der 
Challenge (RANDOM 1; RANDOM 2) mit 
Hilfe zumindest eines ersten Algorithmus (f) 
sowie geheimer Schlttsseldaten (KEY') jeweils 
Authentifikationsparameter (APS, AP4) be- 
rechnet 

— das Endgerat iibertragt seine Authentifika- 
tionsparameter (AP3) als Response zur trag- 
baren Datentrageranordnung, wo sie mit den 
dort berechneten Authentifikationsparame- 
tern (AP4) verglichen werden, 

— bei Obereinstimmung der jeweiligen Au- 
thentifikationsparameter (AP3, AP4) wird die 
Sperrvorrichtung deaktiviert, so daB der Wer- 
tespeicher von dem Endgerat wieder auflad- 
barist 

2. Verfahren nach Anspruch 1, dadurch gekenn- 
zeichnet, dafi der Wertespeicher von dem Endgerat 
wieder aufgeladen wird. 

3. Verfahren nach Anspruch 1, dadurch gekenn- 
zeichnet, daB gleichzeitig mit dem Wiederaufladen 
des Wertespeichers der Fehlerzahler (FZ) riickge- 
setzt wird. 

4. Verfahren nach Anspruch 1, dadurch gekenn- 
zeichnet, daB vor dem Wiederaufladen des Werte- 
speichers der Fehlerzahler (FZ) ruckgesetzt wird 

5. Verfahren nach Anspruch 3, dadurch gekenn- 
zeichnet, 

— daB nach dem Rucksetzen des Fehlerzah- 
lers (FZ) sowohl im Endgerat als auch in der 
tragbaren Datentrageranordnung aus der 
Challenge (RANDOM 1; RANDOM 2) mit 
Hilfe zumindest eines zweiten Algorithmus so- 
wie der geheimen Schliisseldaten (KEY') je- 
weils weitere Authentifikationsparameter be- 
rechnet werden, 

— daB das Endgerat seine weiteren Authentifi- 
kationsparameter als Response zur tragbaren 
Datentrageranordnung iibertragt, wo sie mit 
den dort berechneten weiteren Authentifika- 
tionsparametern verglichen werden, und 

— daB erst bei Obereinstimmung der jeweili- 
gen weiteren Authentifikationsparameter der 
Wertespeicher von dem Endgerat wieder auf- 
geladen wird 

6. Verfahren nach einem der vorhergehenden An- 
sprQche, dadurch gekennzeichnet, daB gleichzeitig 
mit dem Wiederaufladen des Wertespeichers ein 
weiterer Wertespeicher entsprechend dem vorhe- 
rigen Wertestand des Wertespeichers umgeladen 
wird. 

7. Verfahren nach einem der vorhergehenden An- 
spriiche, dadurch gekennzeichnet, 

— daB vor der Obertragung der Authentifika- 
tionsparameter (APS) des Endgerats zur trag- 
baren Datentrageranordnung die tragbare 
Datentrageranordnung ihre Authentifika- 
tionsparameter (API) als Response zum End- 
gerat ubertragt, wo sie mit den dort berechne- 
ten Authentif ikationsparametern (AP2) vergli- 
chen werden, und 

— daB erst nach einem positiven Vergleichser- 
gebnis weitere Operationen m5glich sind. 

8. Verfahren nach einem der vorhergehenden An- 
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spriiche, dadurch gekennzeichnet, daB vor jeder 
Berechnung von Authentifikationsparametern 
(API, AP2, AP3, AP4) neue Zufallsdaten (RAN- 
DOM i ; RANDOM 2) als jeweils neue Challenge 
vom Endgerat zur tragbaren Datentrageranord- 
nung iibertragen werden. 

9. Verfahren nach einem der vorhergehenden An- 
spriiche, dadurch gekennzeichnet, daB fur jeden 
Authentifikationsvorgang neue geheime Schliissel- 
daten verwendet werden. 

10. Verfahren nach einem der vorhergehenden An- 
spriiche, dadurch gekennzeichnet, daB fur jeden 
Authentifikationsvorgang ein neuer Algorithmus 
verwendet wird 

1 1. Verfahren nach einem der vorhergehenden An- 
spruche, dadurch gekennzeichnet, daB das Endge- 
rat Identifikationsdaten (CID) aus der tragbaren 
Datentrageranordnung liest und daraus den oder 
die geheimen Schlussel (KEY') berechnet, der oder 
die auch in der tragbaren Datentrageranordnung 
zur Verf ugung steht oder stehen. 
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